<p>Для обеспечения адекватного уровня информационной безопасности веб-проекта рекомендуется настроить и проводить периодический аудит событий и инцидентов, зарегистрированных в "Журнале событий".</p>

<p>В журнал, в зависимости от настроек, могут попадать уведомления об обнаружении вирусов на веб-страницах, попытках взлома (зарегистрированных проактивным фильтром "Web Application Firewall"), изменениях разделов и элементов информационных блоков, действиях модераторов форума, авторизациях, регистрациях и изменении учетных записей и групп Пользователей, изменениях доступа к модулям и файлам и т.п.</p>

<p>Прежде всего, нужно настроить время хранения зафиксированных событий в "Журнале событий". Для этого необходимо в разделе "Настройки > Настройки продукта > Настройки модулей > Главный модуль", на вкладке "Журнал событий" установить значение параметра "Сколько дней хранить события". </p>

<p>Выбор значения определяется установленным для проекта интервалом аудита безопасности. К примеру, можно проводить совместно с системным администратором еженедельный аудит всех событий и ежедневный аудит событий, связанных с детектированием вирусов и попытками вторжений. В этом случае можно порекомендовать хранить события 2-4 недели. </p>

<p>Далее необходимо настроить типы событий, регистрируемых в "Журнале событий".</p>

<p>Выбираем типы событий главного модуля в разделе "Настройки > Настройки продукта > Настройки модулей > Главный модуль" на вкладке "Журнал событий", в группе "События для записи в журнал". Рекомендуется выделить все типы событий.</p>

<p>Включаем, при необходимости, Веб-антивирус и выбираем режим регистрации вирусных заражений: "Настройки > Проактивная защита > Веб-антивирус". На вкладке "Веб-антивирус" включаем его, на вкладке "Параметры" выбираем одно из действий при обнаружении вируса и интервал оповещения.</p>

<p>Включаем "Проактивный фильтр" и выбираем режим регистрации попыток вторжений: "Настройки > Проактивная защита > Проактивный фильтр".  На вкладке "Проактивный фильтр" включаем защиту, на вкладке "Активная реакция" включить "Занести попытку вторжения в журнал". При необходимости можно дополнительно выбрать режим временного блокирования IP-адреса атакующего.</p>

<p>Выбираем, при необходимости, регистрируемые типы событий изменения информационных блоков для каждого информационного блока:  "Контент > Информ. блоки > Типы информ. блоков" на вкладке "Журнал событий". Рекомендуется регистрировать события изменения особо важных для веб-проекта инфоблоков, например инфоблока с каталогом цен и т.п.</p>

<p>После настройки регистрируемых событий проводится их периодический аудит в "Журнале событий": "Настройки > Инструменты > Журнал событий". По выявленным инцидентам принимаются соответствующие меры.</p>



<ol>
<li>Проверяем, что включены режимы регистрации важных системных событий и инцидентов безопасности в настройках модулей платформы:
<ul>
<li>"Настройки > Настройки продукта > Настройки модулей > Главный модуль" на вкладке "Журнал событий",</li>
<li>"Настройки > Проактивная защита > Веб-антивирус" на вкладке "Параметры",</li>
<li>"Настройки > Проактивная защита > Проактивный фильтр"  на вкладке "Активная реакция",</li>
<li>"Контент > Информ. блоки > Типы информ. блоков > Конкретный инфоблок" на вкладке "Журнал событий".</li>
 </ul>
</li>
<li>Проверяем, что имеется согласованная процедура периодического аудита специалистами (в т.ч. системным администратором) записей в "Журнале событий" и определен перечень предпринимаемых действий при возникновении разных типов инцидентов.
<p>Например, если обнаружена атака, системный администратор блокирует IP-адрес атакующего; если обнаружено заражение веб-страницы вирусом, определяется, когда и с чьего компьютера произошло заражение и компьютер сотрудника "лечится" классическим антивирусом и т.п..</p>
</li>

 </ol>




